(Translated by https://www.hiragana.jp/)
SecurityToolの人気記事 45件 - はてなブックマーク

検索けんさく対象たいしょう

ならじゅん

ブックマークすう

期間きかん指定してい

  • から
  • まで

1 - 40 けん / 45けん

新着しんちゃくじゅん 人気にんきじゅん

SecurityToolの検索けんさく結果けっか1 - 40 けん / 45けん

SecurityToolかんするエントリは45けんあります。 securityセキュリティgithub などが関連かんれんタグです。 人気にんきエントリには 『GitHub - Bad Todo 非常ひじょう多種たしゅ脆弱ぜいじゃくせいふく診断しんだん実習じっしゅうやられアプリ』などがあります。

  • GitHub - Bad Todo 非常ひじょう多種たしゅ脆弱ぜいじゃくせいふく診断しんだん実習じっしゅうやられアプリ

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

      GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリ

    • セキュリティツールの評価ひょうかむずかしい - knqyf263's blog

      まえからおもってたことをちょっとかずにいられなくなったのでポエムをきました。 背景はいけい 問題もんだい 検知けんちしているほうただしいようにえがち 条件じょうけんそろえるのがむずかしい 環境かんきょう再現さいげんむずかしい 検知けんちすうおおほうさそうにえる 正解せいかいかどうかの判断はんだんむずかしい カバー範囲はんい正確せいかく見極みきわめがむずかしい 検知けんちされないほうがうれしい まとめ 背景はいけいまえだれだよってなるかもしれないのでいておくと、Trivyという脆弱ぜいじゃくせいスキャナーのメンテナをやっています。 github.com とある有名ゆうめいほうによる以下いかのツイートがありました。 I just discovered, during @cloudflare #SecurityWeek no less, that Trivy (the vuln scanner) doesn't detect known issues in Alpine images. Including a critica

        セキュリティツールの評価は難しい - knqyf263's blog

      • 高校こうこう2年生ねんせい開発かいはつしたWindows専用せんよう脆弱ぜいじゃくせいスキャナー「DetExploit」がリリース/オープンソースで開発かいはつ今後こんごはアドオンによる拡張かくちょう自動じどう更新こうしん機能きのう

          高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース/オープンソースで開発。今後はアドオンによる拡張や自動更新機能も

        • AWS WAFを完全かんぜん理解りかいする ~WAFの基礎きそからv2の変更へんこうてんまで~ | DevelopersIO

          こんにちは、臼田うすだです。 みなさん、WAFWAFしてますか?(挨拶あいさつ 今回こんかいはタイトルどおりAWS WAFを完全かんぜん理解りかいするための情報じょうほう全部ぜんぶんだブログです。ながいです。 そもそもWAFってなんだっけ?というはなしからはじめて「全部ぜんぶ理解りかいした」とえるようになるまでをまとめています。直近ちょっきんAWS WAF v2がリリースされたため、この変更へんこうてん中心ちゅうしん機能きのう説明せつめいをします。 Developers.IOではWAFをあつかった記事きじがたくさんあるので、こまかいところはブログを引用いんようします。いわゆる元気げんきだまブログです。 おさらいてき部分ぶぶんおおいので変更へんこうてんになるほう適当てきとうばしてください。 そもそもWAFとは AWS WAFのまえにWAFのはなしをします。WAFはWeb Application FirewallのりゃくでWebアプリケーションを保護ほごするためのソリューションです。 一般いっぱんてきなWebアプリケーションにたいする攻撃こうげき手法しゅほうとしてSQLインジ

            AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | DevelopersIO

          • コンテナ・セキュリティ入門にゅうもん 脆弱ぜいじゃくせい - Qiita

            コンテナイメージのレジストリでは、脆弱ぜいじゃくせい検査けんさ実装じっそうたりまえになっている。企業きぎょうでKubernetesなどコンテナを使用しようするにあたって脆弱ぜいじゃくせい対策たいさくがどれほど重要じゅうようなものか理解りかいするために、脆弱ぜいじゃくせい検査けんさや、関連かんれんする国際こくさいてき標準ひょうじゅんについて整理せいりした。 脆弱ぜいじゃくせい(ぜいじゃくせい)とは 脆弱ぜいじゃくせいとは、プログラムの動作どうさ不備ふび悪用あくようされる情報じょうほうセキュリティじょう弱点じゃくてんである。つまり、ソフトウェアじょう問題もんだい原因げんいんとなってしょうじた欠陥けっかんであり、セキュリティホールともばれる。当然とうぜん、ソフトウェア開発かいはつしゃは、脆弱ぜいじゃくせいまないように細心さいしん注意ちゅういはらってコード開発かいはつすすめるが、開発かいはつしゃ利用りようするオペレーティングシステムのライブラリやパッケージにふくまれることもある。そのような事情じじょうから、開発かいはつしゃ責任せきにん範囲はんいがい原因げんいんがある場合ばあいおおくある。 潜在せんざいてき脆弱ぜいじゃくせいいたあらたなクラッキングの手口てぐちが、時間じかん経過けいかともに発見はっけんされる。そのことから、開発かいはつ当初とうしょはコードに脆弱ぜいじゃくせい

              コンテナ・セキュリティ入門 脆弱性 - Qiita

            • WiresharkのDissectorを使つかった独自どくじプロトコル解析かいせきをやさしく解説かいせつしてみました

              本稿ほんこうでは、基本きほんてきなDissectorのつくかたと、Dissectorを活用かつようしたパケット解析かいせき方法ほうほう紹介しょうかいします。 WiresharkのDissectorをご存知ぞんじでしょうか?DissectorはWiresharkのプロトコル解析かいせき部分ぶぶんで、バイトれつひと理解りかいできる内容ないよう変換へんかん表示ひょうじしてくれます。 Wiresharkを使つかったことがあるほうなら、独自どくじプロトコルのバイトれつひと理解りかいできる表示ひょうじにできないかなぁとおもった経験けいけんがあるとおもいます。 Dissectorを自作じさくしPluginとして追加ついかすると独自どくじプロトコル解析かいせき容易よういになります。 なぜこんDissectorを紹介しょうかいするの? 技術ぎじゅつ安井やすいです。 長年ながねん制御せいぎょシステムを開発かいはつした経験けいけんから、現在げんざい制御せいぎょシステムセキュリティをています。 現在げんざいなかおおくのプロトコルに対応たいおうしたDissectorがWiresharkに搭載とうさいされています。しかし、制御せいぎょシステムやIoT機器ききなど独自どくじプロトコ

                WiresharkのDissectorを使った独自プロトコル解析をやさしく解説してみました

              • Microsoft、ソースコード解析かいせきツール「Microsoft Application Inspector」をオープンソースで公開こうかい

                「Microsoft Application Inspector」は、ソースコードにおける暗号あんごうやリモートのエンティティへの接続せつぞく実行じっこうされるプラットフォームといった挙動きょどうつけられるツールで、複雑ふくざつなプログラミング手法しゅほう検出けんしゅつや、人間にんげんではつけにくいプログラムの挙動きょどう特定とくていできる。 だい規模きぼなプログラムの解析かいせき可能かのうで、複数ふくすうことなるプログラミング言語げんごによって構成こうせいされた、すうひゃくまんぎょうにもおよぶソースコードの解析かいせきにも対応たいおうしている。 「Microsoft Application Inspector」を使用しようすれば、コンポーネントのバージョンあいだでの機能きのう変更へんこう識別しきべつできるため、バックドアの検出けんしゅつ役立やくだつ。さらに、リスクのたかいコンポーネントや、追加ついか精査せいさ必要ひつようなコンポーネントの特定とくていにも使つかえる。 検査けんさ結果けっかは、JSONやインタラクティブHTMLをふく複数ふくすう形式けいしきでレポートを生成せいせい可能かのうで、ソースコードから特定とくていされた機能きのう一覧いちらん表示ひょうじされ

                  Microsoft、ソースコード解析ツール「Microsoft Application Inspector」をオープンソースで公開

                • はやはやめの脆弱ぜいじゃくせい対策たいさく開発かいはつチームでできるアプリとサーバのセキュリティ診断しんだん要件ようけん定義ていぎつくかた|ハイクラス転職てんしょく求人きゅうじん情報じょうほうサイト AMBI(アンビ)

                  はやはやめの脆弱ぜいじゃくせい対策たいさく! 開発かいはつチームでできるアプリとサーバのセキュリティ診断しんだん要件ようけん定義ていぎつくかた Webセキュリティ対策たいさくはなにかと面倒めんどうですが、昨今さっこんはフレームワークが脆弱ぜいじゃくせい対応たいおうするなど、プログラミングは効率こうりつてきになっています。そのうえでサービス全体ぜんたい安全あんぜんのため、開発かいはつチームがすぐ実施じっしできるWebセキュリティ診断しんだん要件ようけん定義ていぎについて解説かいせつします。 こんにちは、松本まつもと(@ym405nm)です。 みなさんは業務ぎょうむやコミュニティ、趣味しゅみなどでWebサイトつくってますか? SEO対策たいさく、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つつくるだけでもさまざまな技術ぎじゅつかんがかた必要ひつようであり、非常ひじょう奥深おくふかいものであるということは、このエンジニアHubの記事きじおおさが物語ものがたっているのではないでしょうか。 そのなかでもWebサイト開発かいはつしゃ運用うんようしゃなやませるのは、Webセキュリティです。この記事きじでは、開発かいはつフェーズからためすこと

                    早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方|ハイクラス転職・求人情報サイト AMBI(アンビ)

                  • 「そのコンテナ、安全あんぜんですか?」〜AWS x DevSecOpsで実践じっせんするコンテナセキュリティ〜 / Is that container safe?

                    2020-10-20 AWS DevDay Online Japanでの登壇とうだん資料しりょうになります。 https://aws.amazon.com/jp/about-aws/events/2020/devday/ # AWSご担当たんとうしゃさまより承諾しょうだくいただいたうえでアップロードしています

                      「そのコンテナ、安全ですか?」〜AWS x DevSecOpsで実践するコンテナセキュリティ〜 / Is that container safe?

                    • GitHub - DeNA/PacketProxy: A local proxy written in Java

                      Full-featured local proxy tool Save all captured packets (i.e., requests and responses) and show them in the history tab Filter/Search packets in the history tab (e.g. requests==/api/v1/users to show only requests whose path contains /api/v1/users ) Modify the contents of intercepted packets before forwarding them to the destination Resend (or replay) captured packets with or without manually modi

                        GitHub - DeNA/PacketProxy: A local proxy written in Java

                      • Kali Linuxに(自分じぶんが)追加ついかしたいペネトレーションツール - 高林たかばやし雑記ざっきブログ

                        先日せんじつ、VMwareじょううごかしていたKali Linuxが突然とつぜんエラーで起動きどうできなくなりました。 コマンドラインだけならログインできるんですが、GUI操作そうさができず復旧ふっきゅう絶望ぜつぼうてきなのでいちからKali LinuxをInstallしなおすことにしました。 そのさい、せっかくなので自分じぶんがVulnhubやHTBを攻略こうりゃくするうえで便利べんりだとおもって使つかっていて、かつKali Linuxにデフォルトではいっていないけど有用ゆうようなツールをまとめたいとおもいます。 完全かんぜん個人こじん意見いけんなので、参考さんこうまでにどうぞ! ちなみに、niktoやgobusterといったツールはめちゃくちゃ使つかいますがデフォルトでInstallされているため省略しょうりゃくします。 Information Gatering AutoRecon onetwopunch Parsero smbver.sh FindSMB2UPTime.py impacket oracle(sqlpl

                          Kali Linuxに(自分が)追加したいペネトレーションツール - 高林の雑記ブログ

                        • Open Source Insights

                          • Microsoft Defenderをながめてると「もう全部ぜんぶあいつ一人ひとりでいいんじゃないかな」という気分きぶんになる

                            はじめに 先日せんじつのIgniteでまたもやMicrosoftのセキュリティ製品せいひん名称めいしょうわりました。今年ことしはいって、2かい!! ただ、今回こんかい名称めいしょう変更へんこうはAzureと名前なまえをMicrosoftとえることで 「Azureに限定げんていした製品せいひんではなくハイブリッドクラウド/マルチクラウド対応たいおう」 というてんつよした意図いと想像そうぞうできます。最近さいきんのMSのセキュリティ製品せいひんたとえばEDRもMacやLinux, Android/iOSに対応たいおうしていますし、マルチクラウドをサポートしているものもおおいので、自分じぶん整理せいりねてまとめてみました。全体ぜんたいてきにここ最近さいきん名称めいしょう変更へんこうはいってるのできゅう名称めいしょうれています。 Microsoft Defender + αあるふぁ一覧いちらん Windowsの固有こゆう機能きのうから、独立どくりつしたエンドポイントセキュリティ製品せいひん、サーバサイドの製品せいひんまでMicrosoft Defender の名前なまえ使つかわれてるのでらないとちょっとやや

                              Microsoft Defenderを眺めてると「もう全部あいつ一人でいいんじゃないかな」という気分になる

                            • GitHub - secretlint/secretlint: Pluggable linting tool to prevent committing credential.

                              You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                GitHub - secretlint/secretlint: Pluggable linting tool to prevent committing credential.

                              • ssh-keygenをブラウザだけでローカルで安全あんぜんかぎ生成せいせいするWebアプリ - nwtgck / Ryo Ota

                                このssh-keygenコマンドで生成せいせいされる公開こうかいかぎ秘密ひみつかぎいちGitHubの設定せってい登録とうろくすればてていもの。だからファイルに保存ほぞんされずに生成せいせいされると手軽てがるさがすとおもった。またssh-keygenコマンドがないとおもわれるモバイル端末たんまつじょうや、個人こじんてきにコマンドがあまりくわしくないWindows環境かんきょうなどでもつね生成せいせいされるとうれしい。そこでWebブラウザのローカルで安全あんぜんかぎ生成せいせいできるWebアプリがほしくなった。

                                • サーバーレスやられアプリを使つかった脆弱ぜいじゃくせい診断しんだんハンズオン - Qiita

                                  セキュリティ診断しんだんのハンズオンなどの目的もくてきで、えて脆弱ぜいじゃくせいのこしているいわゆる”やられアプリ”。 元旦がんたんからなにやってんだというかんじはありますが、折角せっかく時間じかんがあるのでねてから攻略こうりゃくしたかった OWASP Serverless Goat をやっつけていきます。 OWASP Serverless Goat とは OWASP Serverless Goat はイスラエルのセキュリティスタートアップ PureSec が作成さくせいした The Ten Most Critical Risks for Serverless Applications v1.0 にもとづいた、サーバーレスアプリケーション固有こゆう脆弱ぜいじゃくせいをわざとんだ Web アプリケーションです。 以下いか教育きょういく目的もくてき作成さくせいされたものであり、それ以外いがい目的もくてき利用りようすることはのぞましくありません。 開発かいはつしゃとセキュリティ担当たんとうしゃ一般いっぱんてきなサーバーレスアプリケーションレイヤ

                                    サーバーレスやられアプリを使った脆弱性診断ハンズオン - Qiita

                                  • ImHex:午前ごぜん3にがんばるひとのためのバイナリエディタ - setodaNote

                                    ImHex という Hex エディタを Ubuntu 20.04 にインストールしたときのメモきです。 ImHex ImHex を Ubuntu 20.04 にインストールする ImHex の画面がめん設定せってい うごかしてみた感想かんそう 参考さんこう文献ぶんけん ImHex 公式こうしき cmake まわ参考さんこうにしたトラブルシューティング 付録ふろく concepts がつけられないというエラーについて 「CMake Error at cmake/build_helpers.cmake:55」について 更新こうしん履歴りれき ImHex ImHex は2020ねんの12月に公開こうかいされた比較的ひかくてきあたらしい、午前ごぜん3にがんばるひとのための Hex エディタです。 *1 GitHub - WerWolv/ImHex: A Hex Editor for Reverse Engineers, Programmers and people that value thei

                                      ImHex:午前3時にがんばる人のためのバイナリエディタ - setodaNote

                                    • Blog|Webセキュリティはどこからをつければよいのか?

                                      脆弱ぜいじゃくせい診断しんだん動的どうてきアプリケーションセキュリティテスト(DAST / Dynamic Application Security Testing)おおくのほう脆弱ぜいじゃくせい検出けんしゅつする方法ほうほうとして利用りようされているかとおもいます。 脆弱ぜいじゃくせい診断しんだんでは、Webアプリケーションに脅威きょういとなる擬似ぎじ攻撃こうげき実施じっし既知きち脆弱ぜいじゃくせいおこない、攻撃こうげき悪用あくようできる脆弱ぜいじゃくせい情報じょうほう漏洩ろうえいつながるおそれのある問題もんだいてん(ロジック)をつけることができます。 メリット 緊急きんきゅうたか脆弱ぜいじゃくせいあらせる (診断しんだんサービスなどを利用りようすれば)セキュリティの知見ちけんがなくてもテスト可能かのう 網羅もうらてき デメリット 診断しんだん自体じたい時間じかんがかかる 問題もんだい箇所かしょ特定とくていしなければならず、修正しゅうせいむずかしい場合ばあいがある アプリケーションがうごいていなければならず、脆弱ぜいじゃくせいつくみから修正しゅうせいまでの時間じかんながい ソフトウェアコンポジション解析かいせき(SCA / Software Composition Analysis)近年きんねんOSS

                                        Blog|Webセキュリティはどこから手をつければよいのか?

                                      • ポートスキャナ自作じさくではじめるペネトレーションテスト

                                        本書ほんしょは、ポートスキャンをもちいて攻撃こうげきしゃがネットワークを経由けいゆしてどのように攻撃こうげきしてくるのかを具体ぐたいてき手法しゅほうまじえてまなび、攻撃こうげき手法しゅほうることでセキュリティレベルの向上こうじょう目指めざ書籍しょせきです。Scapyをもちいてポートスキャナを自作じさくし、ポートスキャンの仕組しくみや動作どうさ原理げんりをしっかりとまなびます。そのあとで、脆弱ぜいじゃくせい診断しんだんやペネトレーションテストに不可欠ふかけつなNmap、Nessus、Metasploit Frameworkなどのツールについて解説かいせつします。ハンズオンで学習がくしゅうすすめながら徐々じょじょにステップアップしていける構成こうせいとなっています。攻撃こうげきしゃがわ思考しこうプロセスを理解りかいし、対策たいさく強化きょうかしましょう。付録ふろくではペンテスターのキャリア形成けいせい関係かんけいきずかたなどにもれ、著者ちょしゃ豊富ほうふ経験けいけんからのアドバイスを紹介しょうかいしています。 正誤せいごひょう ここで紹介しょうかいする正誤せいごひょうには、書籍しょせき発行はっこうづいた誤植ごしょく更新こうしんされた情報じょうほう掲載けいさいしています。以下いかのリストに記載きさい年月としつきは、正誤せいごひょうさく

                                          ポートスキャナ自作ではじめるペネトレーションテスト

                                        • sigstoreによるコンテナイメージやソフトウェアの署名しょめい - knqyf263's blog

                                          おそろしくながうえわり複雑ふくざつなので最後さいごまでひとはほとんどいないとおもうのですが、将来しょうらい確実かくじつわすれてしまう自分じぶんのためにいたのでべつかなしくありません。 まえがき 背景はいけい sigstoreの概要がいよう sigstoreを構成こうせいするツールぐん Cosign Rekor Fulcio 署名しょめい方法ほうほう コンテナイメージ かぎペアの生成せいせい 署名しょめい 検証けんしょう Blobs かぎペアの生成せいせい 署名しょめい 検証けんしょう 署名しょめい仕組しくみ コンテナイメージ OCI Registryについて 署名しょめい保存ほぞんさき 署名しょめいフォーマット 署名しょめい検証けんしょう 検証けんしょう不十分ふじゅうぶんれい Blobs 参考さんこう まとめ まえがき かぎ管理かんり不要ふようでソフトウェア署名しょめい可能かのうにするKeyless Signingについて解説かいせつこうとおもい、まず前提ぜんてい知識ちしきいていたらしんじられないぐらいながくなったので前提ぜんてい知識ちしきだけで1つの記事きじになりました。 後述こうじゅつするsigstoreは急速きゅうそく開発かいはつすすんでいるプロジェクトであり、ここでいている記述きじゅつ

                                            sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog

                                          • DevelopersIO 2022にて「OSSではじめるコンテナセキュリティ」というタイトルで登壇とうだんしました #devio2022 | DevelopersIO

                                            コンサルのとばち(@toda_kk)です。 2022/7/26〜28に開催かいさいされた弊社へいしゃ主催しゅさいのオンラインイベントDevelopersIO 2022にて、「OSSではじめるコンテナセキュリティ」をテーマに登壇とうだんしました。 動画どうが 発表はっぴょう資料しりょう セッション概要がいよう 「コンテナセキュリティってなんかいろいろあるけど、結局けっきょくなにからやればいいの?」という方向ほうこうけに、コンテナセキュリティの全体ぜんたいぞう概要がいよう解説かいせつしつつ、コンテナセキュリティに対応たいおうするためのOSSを紹介しょうかいするセッションです。 ざっくりとした内容ないよう OSSをもちいることで気軽きがるにコンテナセキュリティを実現じつげんしてみよう、というテーマでおはなししました。 コンテナセキュリティにかんする概要がいようを、コンテナライフサイクルに沿ったリスクの評価ひょうか対応たいおうというかたち整理せいりしたうえで、関連かんれんするAWSサービスと機能きのう紹介しょうかいしました。 また、コンテナセキュリティのOSSツールとして、Kubernetesセキ

                                              DevelopersIO 2022にて「OSSで始めるコンテナセキュリティ」というタイトルで登壇しました #devio2022 | DevelopersIO

                                            • OSV - Open Source Vulnerabilities

                                              AlmaLinux 2722 View AlmaLinux vulnerabilities Alpine 3398 View Alpine vulnerabilities Android 881 View Android vulnerabilities Bitnami 3898 View Bitnami vulnerabilities crates.io 1348 View crates.io vulnerabilities Debian 9859 View Debian vulnerabilities GIT 32996 View GIT vulnerabilities Go 2151 View Go vulnerabilities Linux 13573 View Linux vulnerabilities Maven 4873 View Maven vulnerabilities n

                                              • GitHub - dstotijn/hetty: An HTTP toolkit for security research.

                                                You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                  GitHub - dstotijn/hetty: An HTTP toolkit for security research.

                                                • アンチウイルス実験じっけんしつ 〜⚗️マルウェア検知けんち実験じっけん🧪〜

                                                  アンチウイルスソフトって必要ひつようなの?とか、ちゃんとわたしのことまもってくれるの?とかおもわれたことはありますか。日常にちじょうてきにアンチウイルスと対峙たいじしながら侵入しんにゅうテストをやっているもの目線めせんで、5 つのアンチウイルス製品せいひんたいしいろいろ実験じっけんした結果けっか一般いっぱん方向ほうこうけに解説かいせつしてみます。アンチウイルスにたいするモヤッとした疑問ぎもんすこしでも解消かいしょうしていただけたらさいわいです。 はじめに 技術ぎじゅつ松永まつながです。 本題ほんだいはいまえに、わたしがアンチウイルスについてかた資格しかくがありそうか、簡単かんたん自己じこ紹介しょうかいからはじめたいとおもいます。 わたしはアンチウイルスの専門せんもんではなく、製品せいひん開発かいはつ販売はんばい評価ひょうかなどにかかわったことはありません。サイバーディフェンス研究所けんきゅうじょ入社にゅうしゃから 10 ねん、セキュリティテストにたずさわっています。とく侵入しんにゅうテスト(ネットワークペネトレーションテスト)をおも業務ぎょうむとするようになって 5 ねんになりますが、わたし攻撃こうげきツールの研究けんきゅう開発かいはつだい好物こうぶつとしていることもあり、こ

                                                    アンチウイルス実験室 〜⚗️マルウェア検知実験🧪〜

                                                  • WPScanによる、WordPressの脆弱ぜいじゃくせい診断しんだんはじかた | さくらのナレッジ

                                                    WordPress のセキュリティ診断しんだんツール WPScan 近年きんねん不正ふせいアクセスの増加ぞうかにより、セキュリティにたいする関心かんしんたかまりつつあります。さくらインターネットでも Webかいざん検知けんちサービス やSSLの契約けいやくすうびてきているようですが、それでもやはり不正ふせいアクセスはえないのが現状げんじょうです。 ねらわれるのはメールパスワード、そして WordPress さくらのレンタルサーバのサポート経験けいけんじょう、しばしばにする不正ふせいアクセスは、メールパスワードの漏洩ろうえいによる大量たいりょうメール送信そうしんです。しかし、これは比較的ひかくてき対策たいさく簡単かんたんです。意識いしきしてパスワードの管理かんりおこなっていれば、それでリスクの9わり以上いじょうはなくなるとおもいます。 つぎおおいのがWordPressの不正ふせいアクセスです。WordPressは世界せかいの1/3のサイトで使つかわれており、便利べんり人気にんきがある反面はんめん非常ひじょうねらわれやすいアプリケーションでもあります。 さくらのレンタルサーバのコラムにも

                                                      WPScanによる、WordPressの脆弱性診断の始め方 | さくらのナレッジ

                                                    • GitHub - google/tsunami-security-scanner: Tsunami is a general purpose network security scanner with an extensible plugin system for detecting high severity vulnerabilities with high confidence.

                                                      You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                        GitHub - google/tsunami-security-scanner: Tsunami is a general purpose network security scanner with an extensible plugin system for detecting high severity vulnerabilities with high confidence.

                                                      • certutilコマンドの非公開ひこうかいなオプションを表示ひょうじする方法ほうほう - Eiji James Yoshidaの記録きろく

                                                        certutilコマンドの非公開ひこうかいなオプションを表示ひょうじする方法ほうほうつけたというtweetがあったのでメモ。 Does `certutil -uSAGE` not work anymore? It's case sensitive btw ;) — Shawn (@dunarth) 2020ねん3がつ9にち まえからにはなっていたので、すごうれしい情報じょうほうためしたところ、たしかに"certutil -?"では表示ひょうじされないオプションが沢山たくさん表示ひょうじされるね。 赤色あかいろのが"certutil -uSAGE"で表示ひょうじされる非公開ひこうかいなオプション。 C:\>certutil -uSAGE 動詞どうし: -dump -- 構成こうせい情報じょうほうまたはファイルをダンプします -dumpPFX -- PFX 構造こうぞうをダンプします -asn -- ASN.1 ファイルの解析かいせき -decodehex -- 16 しんエンコード ファイルをデコードします -enco

                                                          certutilコマンドの非公開なオプションを表示する方法 - Eiji James Yoshidaの記録

                                                        • 脆弱ぜいじゃくせい診断しんだんようルート端末たんまつでも動作どうさするCUIのメモリかいざんツール「apk-medit」をつくったはなし - Akatsuki Hackers Lab | 株式会社かぶしきがいしゃアカツキ(Akatsuki Inc.)

                                                          こんにちは、セキュリティエンジニアの小竹こだけ 泰一やすいち(aka tkmru)です。 アカツキでは、Webアプリケーション、ゲームアプリにたいする脆弱ぜいじゃくせい診断しんだん社内しゃないネットワークにたいするペネトレーションテスト、ツール開発かいはつ/検証けんしょうなどを担当たんとうしています。 メモリかいざんによるチートとは UIじょう表示ひょうじされている端末たんまつのメモリじょうから検索けんさくし、つけたかいざんすることでチートをおこなうことができる場合ばあいがあります。 これはゲームのチート方法ほうほうなかもっと簡単かんたん方法ほうほうで、脆弱ぜいじゃくせい診断しんだんさいにも実際じっさいにメモリじょうのデータをかいざんをすることでチートできるかどうか確認かくにんしています。 対策たいさくとしては、XORとう使つかってメモリじょうではエンコードされた状態じょうたい保持ほじし、UIじょう表示ひょうじされている検索けんさくされてもつからないようにする方法ほうほうがあります。 つくったツール apk-meditという脆弱ぜいじゃくせい診断しんだんのためのAndroidアプリけメモリかいざんツールを作成さくせいしました。

                                                            脆弱性診断用に非ルート化端末でも動作するCUIのメモリ改ざんツール「apk-medit」を作った話 - Akatsuki Hackers Lab | 株式会社アカツキ(Akatsuki Inc.)

                                                          • オープンソースソフトウェアの活用かつようおよびそのセキュリティ確保かくほけた管理かんり手法しゅほうかんする事例じれいしゅう拡充かくじゅうしました (METI/経済けいざい産業さんぎょうしょう

                                                            経済けいざい産業さんぎょうしょうでは、オープンソースソフトウェア(OSS)を活用かつようするにたって留意りゅういすべきポイントを整理せいりし、そのポイントごとに参考さんこうとなる取組とりくみ実施じっししている企業きぎょう事例じれいとうりまとめた「OSSの活用かつようおよびそのセキュリティ確保かくほけた管理かんり手法しゅほうかんする事例じれいしゅう」を拡充かくじゅうしましたので、公開こうかいします。 背景はいけい趣旨しゅし 経済けいざい産業さんぎょうしょうでは、れい元年がんねん9がつ5にち産業さんぎょうサイバーセキュリティ研究けんきゅうかいワーキンググループ1 (WG1)分野ぶんや横断おうだんサブワーキンググループのしたに、サイバー・フィジカル・セキュリティ確保かくほけたソフトウェア管理かんり手法しゅほうとう検討けんとうタスクフォース(ソフトウェアタスクフォース)を設置せっちし、適切てきせつなソフトウェアの管理かんり手法しゅほう脆弱ぜいじゃくせい対応たいおうやライセンス対応たいおうとうについて検討けんとうおこなってきました。 ソフトウェアタスクフォースでは、おおくの企業きぎょうがOSSをふくむソフトウェアの管理かんり手法しゅほう脆弱ぜいじゃくせい対応たいおうとう課題かだいかかえている現状げんじょうたいし、産業さんぎょうかいでの知見ちけん共有きょうゆう有効ゆうこうであるとの

                                                            • べいMicrosoft、ソースコード解析かいせきツール「Application Inspector」を公開こうかい | OSDN Magazine

                                                              べいMicrosoftは1がつ16にち、オープンソースコンポーネントのセキュリティ問題もんだい分析ぶんせきできるツール「Microsoft Application Inspector」をオープンソースで公開こうかいしたことを発表はっぴょうした。 Microsoft Application Inspectorは静的せいてきにソースを分析ぶんせきするためのコマンドラインツール。.NET Coreで実装じっそうされており、WindowsおよびmacOS、Linuxで動作どうさする。JSONベースで設定せっていできるルールエンジンを利用りようして対象たいしょう分析ぶんせきし、そのコンポーネントがどのような機能きのう提供ていきょうしているのか、内部ないぶてきにOSやフレームワーク、ライブラリのどのような機能きのう使つかっているのかを調査ちょうさする。たとえば対象たいしょうのコンポーネントが暗号あんごう技術ぎじゅつ使つかっているか、遠隔えんかくとのやりとりをおこなっているか、どのプラットフォームでうごいているのかといった情報じょうほうかるという。結果けっかはJSONやHTMLなど様々さまざま

                                                                米Microsoft、ソースコード解析ツール「Application Inspector」を公開 | OSDN Magazine

                                                              • バグバウンティにおける JavaScript の静的せいてき解析かいせき動的どうてき解析かいせきまとめ - blog of morioka12

                                                                1. はじめに こんにちは、morioka12 です。 本稿ほんこうでは、バグバウンティなどの脆弱ぜいじゃくせい調査ちょうさおこなう、JavaScript の静的せいてき解析かいせき動的どうてき解析かいせきについてまとめて紹介しょうかいします。 1. はじめに 免責めんせき事項じこう 想定そうてい読者どくしゃ 検証けんしょう環境かんきょう 静的せいてき解析かいせき動的どうてき解析かいせき 2. 静的せいてき解析かいせき (Static Analysis) 2.1 JavaScript File の URL を収集しゅうしゅうする getJS hakrawler getallurls (gau) 2.2 エンドポイントを列挙れっきょする LinkFinder xnLinkFinder katana jsluice endext 2.3 シークレット情報じょうほう検出けんしゅつする SecretFinder jsluice Mantra trufflehog 2.4 潜在せんざいてき脆弱ぜいじゃくせい情報じょうほう検出けんしゅつする Retire.js ESLint 3. 動的どうてき解析かいせき (Dynamic Analysis) DevTool

                                                                  バグバウンティにおける JavaScript の静的解析と動的解析まとめ - blog of morioka12

                                                                • Secure Coding with IDE Plugins | IDE Security Plugins | Snyk

                                                                  Snyk adds security directly into your IDE with real-time vulnerability scanning of code, open source libraries, containers, and cloud infrastructure — and provides actionable fix advice in-line so you can fix quickly and move on.

                                                                  • 今日きょうからできるサイバー脅威きょういインテリジェンスのはなし-実践じっせんへん- - NFLabs. エンジニアブログ

                                                                    ほん記事きじは『今日きょうからできるサイバー脅威きょういインテリジェンスのはなし-導入どうにゅうへん-』のつづきであり、具体ぐたいてきなサイバー脅威きょうい情報じょうほう収集しゅうしゅう方法ほうほうやプラットフォームについて紹介しょうかいする記事きじです。 『サイバー脅威きょういインテリジェンスってなに?』というほうがいらっしゃればまえ記事きじ参考さんこうにしてください。 Let's CTI わたし個人こじんレベルでやっている CTI の活動かつどう分類ぶんるいしてみると、以下いかの3つの方法ほうほうになるとおもいます。 無料むりょう利用りようできるインテリジェンスサービス・データベースを活用かつようする オンラインサンドボックスを活用かつようする SNS や外部がいぶのコミュニティを利用りようする それぞれ長所ちょうしょやカバーできる領域りょういきことなるので、自分じぶん興味きょうみ組織そしきの CTI の目的もくてきわせてどの方法ほうほうるべきか検討けんとうしてみるといでしょう。 では、詳細しょうさい説明せつめいしていきます。 1. 無料むりょう利用りようできるインテリジェンスサービス・データベースを活用かつようする なかには優秀ゆうしゅうなインテリジェンス分析ぶんせきしゃがた

                                                                      今日からできるサイバー脅威インテリジェンスの話-実践編- - NFLabs. エンジニアブログ

                                                                    • GitHub - step-security/github-actions-goat: GitHub Actions Goat: Deliberately Vulnerable GitHub Actions CI/CD Environment

                                                                      You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                                        GitHub - step-security/github-actions-goat: GitHub Actions Goat: Deliberately Vulnerable GitHub Actions CI/CD Environment

                                                                      • プログラミング言語げんごのパッケージ管理かんりツールにひそ危険きけんせい

                                                                        NECサイバーセキュリティ戦略せんりゃく本部ほんぶ セキュリティ技術ぎじゅつセンター インテリジェンスチームの郡司ぐんじです。今週こんしゅうのセキュリティブログでは、プログラミング言語げんごのパッケージ管理かんりツールにひそ危険きけんせいかんする話題わだいをおとどけします。 最近さいきんのプログラミング言語げんごにはたいてい「パッケージ管理かんりツール(およびパッケージリポジトリサービス)」があります。自分じぶん作成さくせいしたライブラリをパッケージというかたちにまとめてリポジトリに公開こうかいしたり、ぎゃく他人たにん作成さくせいしたライブラリをリポジトリからパッケージとして追加ついかしたりといったことが簡単かんたんにできるプラットフォームが提供ていきょうされています。たとえばプログラミング言語げんごPythonではPyPI[1] 、Node.jsではnpm [2]、RubyではRubyGems [3]などです。自分じぶんしいとおもっている機能きのうだれかがすでに実装じっそうしてパッケージとして公開こうかいしているのであれば、機能きのういちから開発かいはつしなくても、だれかがつくったパ

                                                                          プログラミング言語のパッケージ管理ツールに潜む危険性

                                                                        • PGP(GnuPG)の導入どうにゅう方法ほうほうおしえてやるから、いい加減かげん、ファイルをZIP暗号あんごうして、べつメールでパスワードをおくるのは、やめてくれ! ~ファイル添付てんぷへん~ - Qiita

                                                                          PGP(GnuPG)の導入どうにゅう方法ほうほうおしえてやるから、いい加減かげん、ファイルをZIP暗号あんごうして、べつメールでパスワードをおくるのは、やめてくれ! ~ファイル添付てんぷへん~WindowsemailPGP暗号あんごうGnuPG ひさしぶりの更新こうしんです。 前回ぜんかいは、ちょっと脱線だっせんしてしまいました 「PGP(GnuPG)の導入どうにゅう方法ほうほうおしえてやるから、いい加減かげん、ファイルをZIP暗号あんごうして、べつメールでパスワードをおくるのは、やめてくれ!~公開こうかいキー配布はいふへん~ - Qiita」では、キー配布はいふへんになってしまい、肝心かんじんのファイル添付てんぷのことがけませんでした。 ということで、今回こんかいは、本題ほんだいのファイル添付てんぷへんおこないたいとおもいます。 セットアップへんでは、たくさんのいいねやシェアをありがとうございます 「PGP(GnuPG)の導入どうにゅう方法ほうほうおしえてやるから、いい加減かげん、ファイルをZIP暗号あんごうして、べつメールでパスワードをおくるのは、やめてくれ! ~セットアップへん~ - Qiita

                                                                            PGP(GnuPG)の導入方法教えてやるから、いい加減、ファイルをZIP暗号化して、別メールでパスワードを送るのは、やめてくれ! ~ファイル添付編~ - Qiita

                                                                          • GitHub - eystsen/pentestlab: Fast and easy script to manage pentesting training apps

                                                                            You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                                              GitHub - eystsen/pentestlab: Fast and easy script to manage pentesting training apps

                                                                            • Decompiler Explorer

                                                                              Upload File Your file must be less than 2MB in size. Uploaded binaries are retained.

                                                                              • vulnhub調査ちょうさメモ - 高林たかばやし雑記ざっきブログ

                                                                                自分じぶんようざつさい手法しゅほうとかをまとめました。 文字数もじすう都合つごうじょう、WindowsのPrivilegeEscalationと調査ちょうさ方針ほうしん以下いかせなおしました。 kakyouim.hatenablog.com 2020 3/4追記ついき Privilege Escalationをまとめた記事きじあたらしく作成さくせいしたので、ここにいていたLinux PEは以下いか参照さんしょうしてください。 kakyouim.hatenablog.com ネットワークの調査ちょうさ IPアドレスの調査ちょうさ 脆弱ぜいじゃくせいスキャン 脆弱ぜいじゃくせい調査ちょうさ Webサービスの調査ちょうさ 手動しゅどう調査ちょうさ ディレクトリブルートフォース その tomcatの調査ちょうさ axis2の調査ちょうさ スキャナをもちいた調査ちょうさ そののサービスの調査ちょうさ sshの調査ちょうさ RDPの調査ちょうさ へんなポートの調査ちょうさ snmp(udp161)の調査ちょうさ telnet(23)の調査ちょうさ domain(53)の調査ちょうさ smtp(25)の調査ちょうさ pop

                                                                                  vulnhub調査メモ - 高林の雑記ブログ

                                                                                • 組織そしき管理かんり機能きのう検査けんさ項目こうもく増強ぞうきょうしたVAddyエンタープライズプランをリリース! - クラウドがたWeb脆弱ぜいじゃくせい診断しんだんツール VAddyブログ

                                                                                  VAddyの事業じぎょう責任せきにんしゃ市川いちかわです。 VAddyは、だれでも手軽てがる使つかえて自動じどうもできるクラウドがた脆弱ぜいじゃくせい診断しんだんツールとして開発かいはつをし、5年間ねんかん運用うんようしてきました。様々さまざまなWebアプリケーションの検査けんさ対応たいおうできるようにチューニングしつづけ、くわえてプライベートネットばん対応たいおう、シングルサインオン認証にんしょうアプリ対応たいおう、SPAけの複数ふくすうFQDN対応たいおうなどをおこなってきました。いままでは、よりうまく検査けんさおこな方向ほうこうでの改善かいぜんつづけてきていて、今後こんごもこの方向ほうこうわりません。 この1ねんぐらいでなかながれがすこわってきたかなとかんじるようになりました。組織そしきないのアカウント管理かんりでしっかりした運用うんようをしている企業きぎょうでは、VAddyのチーム機能きのうでは不十分ふじゅうぶんなケースや、検査けんさ項目こうもくをもうすこやしてしいという要望ようぼう目立めだってきました。今回こんかいのエンタープライズプランは、そのような組織そしきけに最適さいてきなプランになっています。 検査けんさ項目こうもく増強ぞうきょう VAddyの既存きそんプラン(Pr

                                                                                    組織管理機能と検査項目を増強したVAddyエンタープライズプランをリリース! - クラウド型Web脆弱性診断ツール VAddyブログ
                                                                                  1 2 つぎのページ

                                                                                  新着しんちゃく記事きじ

                                                                                  はてなブックマーク

                                                                                  公式こうしきTwitter

                                                                                  はてなのサービス

                                                                                  • App Storeからダウンロード
                                                                                  • Google Playで手に入れよう
                                                                                  Copyright © 2005-2024 Hatena. All Rights Reserved.